등록 담당자 책임성
저희가 제출하는 모든 악용 신고는 기록됩니다. 이 페이지는 해당 기록을 점수판 형태로 보여줍니다. 각 등록 기관이 조치를 취하는 데 걸리는 시간, 몇 번의 상급 부서로 이관 절차가 필요한지, 그리고 해당 기관의 관리 하에 악성 도메인이 얼마나 오랫동안 활성화된 상태로 남아 있는지 등을 확인할 수 있습니다. 이 수치는 원시 데이터를 바탕으로 결정론적으로 산출되며, 분류 항목은 저희가 정한 것이 아니라 해당 수치에서 도출된 것입니다.
안전에 대한 착각 — 등록 기관들이 방치하는 악용을 통해 어떻게 이익을 얻는가
명목상으로는 모든 등록기관이 ICANN 계약에 따라 악용 사례를 조사하고 이에 대응할 의무가 있습니다. 하지만 실제로는 그 협약이 명목상일 뿐이며, 고의적인 외면을 기반으로 한 비즈니스 모델을 가리기 위한 허울에 불과합니다. 이 프로젝트가 시작된 이래로, ICANN이 과실 있는 등록기관에 대해 단 한 번도 의미 있는 제재를 가한 사례를 본 적이 없습니다. 반면 해당 등록기관은 판매하는 모든 도메인(악성 도메인 포함)에 대해 수수료를 계속 징수하고 있습니다. 등록기관은 VirusTotal이나 더 넓은 정보 보안 커뮤니티보다 자신이 더 잘 안다고 판단하여, 경고 표시가 된 도메인을 그대로 둘 수도 있습니다. 좋습니다. 하지만 그로 인해 다음 피해자에게 돌아가는 손실에 대한 책임은 피해자가 아닌 해당 등록기관이 져야 합니다.
중대한 과실
타당하고 증거에 뒷받침된 학대 신고는 체계적으로 무시되거나 은폐되거나, 자동 응답을 통해 회신조차 받지 못하는 경우가 많습니다.
부정할 수 없는 증거, 무시당했다
VirusTotal과 독립 정보보안 연구소에서 위험으로 표시된 도메인들은, 악용 신고 처리 부서가 대응을 미루거나 연락이 두절된 상태에서도 계속 운영되고 있다.
이익을 가져다주는 지연
악성코드와 피싱은 몇 주 동안 온라인에 남아 있습니다. 하루가 더 지날 때마다 등록 기관이 서비스를 중단하지 않는 유료 고객이 한 명씩 늘어나는 셈입니다.
누군가는 그 실수에 대한 대가를 치른다
증거를 무시하면 그 결과는 전적으로 귀하의 몫이 됩니다. “보고된 바가 없다”는 변명은 더 이상 통하지 않습니다. 이곳의 모든 알림은 기록되고, 타임스탬프가 찍히며, 요청 시 언제든지 내보낼 수 있습니다.
저희는 도메인이나 등록 기관을 표적으로 삼지 않습니다. 여기에는 어떤 타이머도 적용되지 않으며, 올해 전까지는 재신고할 방법조차 전혀 없었습니다. 첫 번째 통지는 탐지 즉시 발송되며, 해당 도메인이 여전히 활성화되어 있고 위험한 상태임을 독립적으로 재확인한 후에야 조치를 강화합니다. 그리고 실제로 그 단계까지 진행되는 경우는 극히 드뭅니다. 이러한 제한적인 절차 하에서도 이 같은 기록이 나온 것은 무능함이 아니라 암묵적인 방조 때문이며, 모든 이메일과 날짜를 포함한 이 기록은 완전히 공개 가능합니다. 아래에 있는 것은 모두 영수증입니다.
공개 원칙에 따라 — 모든 보고서에는 공개 안내문이 포함되어 있었다
우리가 보내는 모든 악용 신고 이메일에는 수신자에게 다음과 같은 명확한 안내문이 포함되어 있습니다. 해당 이메일의 내용(발송된 정확한 날짜와 시간, 요청 내용 전문 포함)은 대중에게 공개될 수 있으며, 실제로 공개될 것입니다. 이 페이지에는 해당 안내문이 포함된 이메일만 수록되어 있으며, 동일한 안내문은 당사의 오픈소스 프로젝트에도 게시되어 있습니다. DestroyList 저장소. 이 데이터는 우리 소유이며, 모든 메시지에 공개 사실이 명시되어 있었고, 우리는 이를 공개할 완전한 권한을 가지고 있습니다.
일부 등록기관은 마치 자사의 내부 정책이 ICANN의 요구 사항이나 국내법보다 우선하는 것처럼 행동합니다. 마치 자신들이 조치를 취하지 않기로 결정하는 한 피싱과 사기가 “허용된다”는 듯이 말입니다. 우리는 이 사실을 공개적으로 기록하여 누구나 명백한 진실을 알 수 있도록 하고자 합니다. 이러한 위협이 지속되는 이유는 이를 간과했기 때문이 아니라, 책임 있는 서비스 제공자가 아무런 조치도 취하지 않기로 결정했기 때문입니다.
모든 피해자는 자신에게 피해를 입힌 도메인과 관련해 등록 기관이 몇 번이나 경고를 받았는지, 그리고 그 경고를 통해 피해를 몇 번이나 막을 수 있었는지를 알 권리가 있습니다. 해당 기록은 이제 공개되었습니다. 이 페이지와 전체 데이터 세트는 다음 라이선스에 따라 오픈소스로 제공됩니다. MIT 라이선스 ~에서 GitHub, 누구나 자유롭게 확인하고, 인용하거나 이를 바탕으로 새로운 내용을 만들 수 있습니다.
기록 요청
DestroyList는 독립적이고 비영리적인 오픈소스 프로젝트입니다. 누구나 특정 도메인에 대해 저희가 얼마나 많은 악용 신고를 보냈는지 조회할 수 있습니다. 단, 공개 채널을 통해서만 가능하므로 모든 사람이 동등하게 접근할 수 있습니다:
방법론 — 이 수치가 어떻게 산출되는지
(비)활동도에 따른 등록기관 순위
| 등록 담당자 | 도메인 | 보고서 | 정지됨 | 한 번도 정지된 적이 없음 | 결론 |
|---|---|---|---|---|---|
| 책임성 데이터 불러오는 중… | |||||
공정성 보장 조치. Cloudflare와 무료 호스팅 서비스(Vercel, GitHub, Netlify 등)는 의도적으로 제외되었습니다. 이들은 유료 등록 기관이 아닌 무료 서비스이며, 자사 서비스를 거부하는 등록 기관을 대신해 책임을 지는 것은 이들의 역할이 아니기 때문입니다. 이러한 서비스의 악용 신고 양식은 대개 더 효율적이고 신속하게 처리되며, 등록 기관이 대응하지 않을 경우에도 우리는 여전히 수동으로 해당 서비스에 신고하고 있습니다. 따라서 이곳에서 이들 서비스를 평가하는 것은 공정하지 않을 것입니다. 보고된 도메인이 10개 미만인 등록 기관은 표본 크기가 작아 발생하는 왜곡을 피하기 위해 제외되었습니다. 응답 중앙값은 확인된 삭제 조치가 이루어진 도메인에 대해서만 계산되며, 여전히 활성 상태인 도메인은 별도로 집계되어 평균 계산에 포함되지 않습니다. 모든 주장은 위의 해시 처리된 데이터셋을 통해 재현 가능합니다.